Her er Danmarks NemID-nødberedskab: Gå ned på rådhuset

15. april 2013 kl. 06:2920
Det vil være for dyrt at have en parallel infrastruktur i baghånden i tilfælde af nye angreb mod NemID, lyder det fra Digitaliseringsstyrelsen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Når NemID er nede, giver det især problemer for danskere, som har brug for adgang til offentlige selvbetjeningsløsninger. De fleste pengeinstitutter har et ekstra system i baghånden, hvor et kreditkortnummer og en engangskode pr. sms kan give adgang til netbanken, men sådan en løsning findes ikke til de offentlige tjenester.

»I princippet er det sådan, at hvis du ikke kan bruge NemID, så kan du henvende dig til den pågældende myndighed,« siger Charlotte Jacoby, souschef i Digitaliseringsstyrelsens kontor med ansvar for digital signatur, til Version2.

Hvis man havde brug for at udfylde en formular til det offentlige torsdag, hvor NemID blev ramt af et mere end syv timer langt DDoS-angreb, som gjorde login-systemet utilgængeligt, så kan man for eksempel henvende sig til borgerservice på rådhuset.

En decideret failover-løsning til NemID er ikke på tale ifølge Digitaliseringsstyrelsen.

Artiklen fortsætter efter annoncen

»Vi har ikke en alternativ infrastruktur. Det er af økonomiske årsager ikke muligt,« siger Charlotte Jacoby.

NemID-login-systemet administreres af Nets DanID, og det er også hos Nets DanID, at ansvaret ligger for at forhindre langvarige afbrydelser af NemID som følge af eksempelvis DDoS-angreb.

»Nets DanID driver infrastrukturen i forhold til en kontrakt, hvor det er vigtigt, at der løbende er fokus på robustheden. De har ansvaret for den tekniske overvågning og skal fortsat gøre det, der skal til for at gøre infrastrukturen robust. Det ændrer de specifikke angreb ikke ved,« siger Charlotte Jacoby.

Digitaliseringsstyrelsen er ikke direkte indblandet i, hvordan NemID-systemet kan sikres bedre i fremtiden mod nedbrud som følge af eksempelvis DDoS-angreb. Men leverandøren bliver mål på oppetid, og det kan derfor koste Nets DanID, hvis DDoS-angreb bliver hverdagskost og giver problemer for NemID.

Artiklen fortsætter efter annoncen

»Vi har en SLA (Service Level Agreement,* red*.) med krav til oppetid hver måned med en beregningsmodel, hvor der kan blive tale om bod, hvis oppetiden ikke overholdes,« siger Charlotte Jacoby.

20 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
20
16. april 2013 kl. 19:46

Vi har en SLA (Service Level Agreement,* red*.) med krav til oppetid hver måned med en beregningsmodel, hvor der kan blive tale om bod, hvis oppetiden ikke overholdes,« siger Charlotte Jacoby.

Hvis SLA og bod er de eneste styringsredskaber Digitaliseringsstyrelsen har i forhold til kvaliteten, kunne det da være rigtig interessant at se disse aftaler. Er det ikke noget Version2 kunne grave frem?

18
15. april 2013 kl. 18:11

Ser ud til at NemID er nede igen..

19
15. april 2013 kl. 22:02

Helt korrekt. Fra ca. 17:45 d.d. og frem var det ikke muligt. LD meddelte ikke om driftsforstyrelser, men min bank var venlig nok til at advisere mig om problemet med at logge ind. Pt. kl. 22:00 er der dog fremkommelighed :-)

15
15. april 2013 kl. 14:50

De havde brugt de 2.4 millarder som NemID kostede, og lavedet det rigtigt, så havde der ikke været en nødvendighed med en nødløsning, fordi du kunne ikke DDoS det centrale element (da det ville være decentralt), du ville kun kunne ligge individuelle sites ned..

Men Ak nej DanID og Danske politikere ved bedre..

14
15. april 2013 kl. 12:30

Den gamle løsning (før NemID, hvor vi selv havde vores OCES x509 certifikater) - som vi alle brugte, anvendte almindelige standarder - og man havde sin egen private nøgle - og dermed var systemet beskyttet imod DDOS - da der ikke var en central enhed (udover certifikat-revocation listen - som nemt kunne sikres imod DDOS)

Hvis nu man bare indså at det nye system var en væsentlig forringelse på MANGE måder - og gik tilbage til det gamle, og nøjes med at forbedre det (f.ex. tilføje 2-faktor auth og mulighed for at ligge sin private nøgle på det usb-token der nu er kommet til NemID..)

13
15. april 2013 kl. 12:24

Når "nødløsningen" nu er at borgerne nu skal henvende sig i Borgerservicen hvis NemID er nede, så kan det undre at man ikke i dagligdagen vil betjene de borger, som ikke eller vil benytte NemID i Borgerservicen !?

Denne gruppe af borgere er lille og for visse grupper, nærmere det sig chikane når man gerne vil "undervise" i NemID, og ikke bare hjælper borgerne.

12
15. april 2013 kl. 12:05

Det giver ikke stor mening, at haven en backup i form af NemID2. Hackerne vil så bare angribe begge systemer samtidigt.

Hver institution, der bruger NemID, burde have et eget alternetiv fx. engangs SMS kode. Det ville skabe et system, hvor det ville være svært at fokusere et angreb på noget, som binder "alting" sammen.

11
15. april 2013 kl. 11:46

Digital selvbetjening giver mange fordele, men rummer også sårbarhed. Hackerangrebet i torsdags viser, hvilke udfordringer vi står med, især når der ikke er det nødvendige nødberedskab for borgere, der skal betjene sig selv digitalt. Det er ikke nok blot at henvise til kommunernes borgerservice. Det er ikke alle, der lige har mulighed for at tage i borgerserice, og en del kommuner har indskrænket åbningstiden i borgerservice, så den muighed ikke er til stede. Mange myndigheder er også svære at komme i kontakt med telefonisk, når den digitale løsning ikke virker. Der er slet ikke bemanding til at tage imod de mange telefonopkald, har vi oplevet i en række tilfælde, hvor en selvbetjeningsløsning ikke virkede. Da jeg selv skulle logge på en offentlig selvbetjeningsløsning i torsdags og ikke var klar over, at NemID var nede, ringede til NemID's support og blev kastet rundt i en telefonsluse, hvor jeg så havnede som nummer 14 køen. Digitalisering kan effektivisere, men det nytter ikke at effektivisere så meget, at borgerne bliver ladt i stikken, når systemerne af den ene eller anden årsag er nede - især i længere tid. Så er effektiviseringen og spareiveren gået for vidt og er mere til skade end til gavn.

6
15. april 2013 kl. 08:34

jeg var inde på skattecentret torsdag og hvis angrebet ikke var stoppet på det tidspunkt så havde de ikke kunnet hjælpe mig.

16
15. april 2013 kl. 16:03

Det forstår jeg ikke. Jeg har ikke NEMID og bruger derfor mit personlige password ved ved adgang til skat.dk. Skattecentret burde have hjulpet dig med at oprette et personligt password. Når Skat kan have 3 muligheder for at komme ind (NEMID, password og digital signatur), så burde andre af NEMIDs kunder kunne give os samme muligheder.

17
15. april 2013 kl. 17:54

De sagde til mig at de måske slet ikke kunne hjælpe mig pga. NemID problemerne men systemet virkede godt nok så jeg spurgte ikke mere til det.

4
15. april 2013 kl. 08:30

Hvad hjælper det, når de ansatte nede på råshuset bruger samme fejlramte system?

7
Indsendt af Peter Binderup (ikke efterprøvet) den man, 04/15/2013 - 08:57

Hvad hjælper det, når de ansatte nede på råshuset bruger samme fejlramte system?

Nu bruger medarbejderne ikke NemID for at logge ind på de systemer, og deres adgang til systemerne er anderledes end den borgerrettede adgang.

Så det angreb vi så i sidste uge vil umiddelbart ikke have nogen betydning for en borgerservice medarbejder.

Og inden jeg bliver beskyldt for noget - nej dette er ikke et forsvar af NemID.

10
15. april 2013 kl. 09:02

Eller så længe it-folk ikke kan kommunikere med forretningen.

Forretningen.... Sålænge successkriterier formuleres som :

Hovedformålet med PDE-projektet er dog et kvalitetsløft, som ikke nødvendigvis kan opgøres i penge.

eller :

E-valg kan være med til at forny og udvikle vores demokrati på en helt oplagt måde...

er der vistnok rig fortolkningsmulighed indenfor al kommunikation.

K

9
15. april 2013 kl. 09:00

Eller så længe it-folk ikke kan kommunikere med forretningen.

E-valgssagen er ellers et godt eksempel på, at den flok du tilsyneladende betegner som it-folk, har forsøgt at råbe politikerne op over blogs, sociale medier og i offentlige høringer med saglige argumenter. Fra politisk hold ikke har man desværre ikke evnet eller villet forholde sig til indvendingerne, men vedbliver at holde fast i ønsket om at anvende digitale løsninger overalt i samfundet, uanset om man derved åbner Pandoras æske af ækle følgeproblemer. "IT: Me, too"-mentaliteten har totalt bedøvet politikeres evne til at tænke kritisk over, om løsningen står mål med problemet.

Gad vist om de også mener at NemIDs nu demonstrerede sårbarhed kan løses i en håndevending?

2
15. april 2013 kl. 08:17

Lad os ihukomme den gamle digters ord:

— Og ret som hun sagde det, gjorde hun saa- Klask! Æggene der paa Jorden laae! Med dem den hele Lyksalighed faldt - Og det var i Grunden ikke saa galt!

1
15. april 2013 kl. 07:55

Ak ja... det er hver gang det samme. Af økonomiske årsager stopper vi lige Danmark, hvad koster det ? Hvad er det lige besparelsen ved NemID var ?